網頁內容被篡改,如何找到是在哪個位置被篡改的,如何找到這個惡意程序?

問題描述:
目標網站首頁頁面內容被篡改,跳轉到一導航網站(相關網址最後貼出),然後從導航網站跳轉到目標網站首頁。
問題發現:
開始時候我都沒注意過地址欄中參數的變化,訪問「www.jd.com」也正常,直到前兩天,訪問」www.jd.com「總是跳轉到京東的錯誤頁面,才發現這個問題。
簡單測試了幾個網站,京東,一號店首頁被篡改,淘寶、天貓沒有,其他沒測
測試情況說明(以京東為例):
1.瀏覽器(chrome、IE、Edeg)發起請求,內容被篡改
2.用java的HttpURLConnection和Socket分別發起請求,內容被篡改
3.cmd中 telnet 京東IP 80,然後GET / HTTP/1.1 HOST: 「www.jd.com」, 內容正常
4.設置同事電腦為代理,內容正常,同事設置我電腦為代理,同事內容被篡改
5.修改dns不影響以上4點
6.電腦連接手機4G熱點,內容被篡改
相關圖片:
內容正常情況

內容被篡改

被篡改後跳轉的相關網址:
http://gclick.duapp.com/igo.php?m=jda=30
http://www.91nav.com
http://c.duomai.com/.....等

請教各路大神,這個內容在何時 何處 被用什麼方式篡改?
如何找到這個惡意程序?
用殺毒軟體好像也沒查殺到異常文件(但是我更傾向於電腦是中毒了)


其實有個比netstat好用的辦法就是windows 7+自帶一個叫做資源監視器的東西,可以看到所有聯網的進程名和四元組/監聽埠

除非有rootkit,否則你應該可以看到異常的情況的。


初步判斷是成了殭屍網路的一份子。

怎麼不看一下當前正在運行的進程,應該是有一個進程劫持了所有80 8080 埠的流量。netstat -abn看一下是哪個可疑程序開了可以埠

firefox試過沒有,firefox是不受ie代理影響的,最好先看一下系統設置裡面的代理有沒有值不值。

————————————————————

題主這麼久都不看一下回答我也是醉了,這是你本地開了一個木馬程序專門監聽http請求,也就是做了你的http代理,它想怎麼改內容都行, 這也是為什麼你換了代理就沒事了, 不要整那些虛的,wireshark追蹤流量,,,不要逗我


可以接入創宇盾,有一個功能是:溯源


有可能是路由器的dns被篡改了。檢查一下改回來。
注意把路由器默認管理賬號密碼(admin)修改一下。


如果沒中毒檢查DNS,檢查host
還是掃一遍吧應該是中招了


遇到了同樣的問題,暫時排除了DNS,hosts的問題,就是不知道自己電腦哪裡中了招,同求解答

  • 跳轉路徑:

http://gclick.duapp.com/jd/Lw==.html

http://track.weiyi.com/sr.aspx?m=360buyw=A200926254d=0000u=t=http%3A%2F%2Fwww.jd.com%2F

  • 跳轉以後的網址:

京東:

http://www.jd.com/index.html?cu=trueutm_source=hao.wabudian.comutm_medium=tuiguang

亞馬遜:

http://www.amazon.cn/?_encoding=UTF8camp=536creative=3200linkCode=ur2tag=juzhefang-23

噹噹:

http://www.dangdang.com/index.html?_ddclickunion=P-314017|ad_type=10|sys_id=1#dd_refer=http%3A%2F%2Fwww.91nav.com

2015年9月30日更新:

重裝了一遍系統以後問題依然,最後發現是激活軟體KMSPico的問題。


推薦閱讀:

如果你是 CSDN 的 CEO,你將如何應對此次泄密事件?
如何從根本上防止 SQL 注入?
為什麼知乎點擊登錄過後才填寫驗證碼?
怎樣防範被人肉搜索?
未來安全公司會消亡嗎?為什麼?

TAG:互聯網 | MicrosoftWindows | 網路安全 | 信息安全 | 計算機病毒 |